De la política a la plataforma: construyendo una nube de confianza en Francia

Jean Coumaros, Presidente y Director Ejecutivo | Bleu

Jean Coumaros es presidente y director ejecutivo de Bleu, la empresa francesa de servicios de nube soberana creada conjuntamente por Capgemini y Orange. Nombrado para dirigir Bleu desde su creación en enero de 2024, es responsable de construir una plataforma de nube de confianza diseñada para cumplir con los estrictos requisitos de seguridad, normativos y de soberanía de datos de Francia, incluida la alineación con el marco SecNumCloud de la ANSSI. Antes de incorporarse a Bleu, Jean Coumaros fue director de Transformación y miembro del Comité Ejecutivo del Grupo en Capgemini, donde lideró importantes iniciativas de transformación a escala de todo el grupo. Anteriormente en su carrera, ocupó cargos de alta dirección en Capgemini Consulting y Oliver Wyman, asesorando a instituciones globales de servicios financieros en materia de estrategia, tecnología y transformación.

Comprender la soberanía digital

¿Cómo definiría la soberanía digital hoy en día? ¿Y cómo ha visto evolucionar su definición en los últimos años?

Cuando hablo con los clientes —y ya tenemos bastantes—, lo que entienden por soberanía se reduce, de manera sistemática, a tres cosas.

El primero es la ciberseguridad. No existe una pretensión creíble de soberanía si no se está protegido contra los cibercriminales o los ciberataques, incluidos aquellos que provienen de grupos organizados en países extranjeros. La ciberseguridad es la capa fundamental.

El segundo aspecto es la protección contra las leyes extraterritoriales. La Ley CLOUD y la FISA son los ejemplos más destacados, pero al menos una docena de países cuentan con leyes extraterritoriales que pueden obligar a los proveedores de servicios en la nube a entregar datos de sus clientes a un gobierno extranjero —de manera legal—, simplemente mediante una solicitud. Si su proveedor de servicios en la nube se encuentra bajo la jurisdicción de alguno de esos países, sus datos confidenciales podrían quedar sujetos a solicitudes legítimas de divulgación por parte de un gobierno extranjero. Ese es el riesgo de soberanía de datos, y es muy real.

La tercera preocupación —y la que ha cobrado mayor relevancia recientemente— es la resiliencia digital, la cual yo describiría también como mantener la dependencia digital en un nivel aceptable. Aun cuando se cuente con seguridad cibernética y protección frente a leyes extraterritoriales, depender en exceso de proveedores extranjeros conlleva un tipo de riesgo distinto. Una decisión de un gobierno extranjero podría impedir que su proveedor le preste servicio, dejándolo a usted imposibilitado para atender a sus propios clientes. Ese es el escenario del «interruptor de emergencia» (kill switch). Si un proveedor puede, en la práctica, pulsar un botón y paralizar sus operaciones, su dependencia ha alcanzado un nivel inaceptable.

“Si un proveedor puede, de manera efectiva, pulsar un botón y paralizar sus operaciones, su dependencia ha alcanzado un nivel inaceptable.”  

¿Está observando conceptos erróneos entre los clientes sobre lo que realmente significa la soberanía?

Sí, particularmente en lo que respecta a la resiliencia digital. En Francia y en varios otros mercados europeos —incluida Alemania—, el debate se ha vuelto, en algunos casos, irracional y casi caricaturesco. Algunas personas han comenzado a confundir la resiliencia digital con la autarquía digital, esperando que los proveedores de servicios en la nube operen con una dependencia nula de la tecnología no europea en cada una de las capas de la pila tecnológica: hardware, software y todo lo que hay entre ambos. Quieren que el hardware se fabrique en Europa; quieren que todas las capas de software se desarrollen en Europa. Eso, desde su punto de vista, es lo que constituye la verdadera soberanía.

Sin embargo, la autarquía digital no existe. No es ni posible ni aconsejable. Incluso aquellos actores europeos del sector de la nube que presumen de alcanzar los niveles más altos de soberanía dependen, en realidad, de hardware procedente de Asia o de Estados Unidos, así como de componentes de software de origen estadounidense o asiático. Un buen ejemplo de ello es la virtualización. Si se examina con detenimiento a muchos de los llamados proveedores europeos de nube soberana, se observa que su capa de virtualización es, de hecho, VMware, empresa propiedad de Broadcom. Lograr una procedencia europea integral —de extremo a extremo— es, sencillamente, inalcanzable.

Lo que sí es factible —y lo que verdaderamente importa— es mantener la dependencia en un nivel aceptable y garantizar un control absoluto sobre aquellas partes específicas de la cadena de valor donde dicho control resulta más crítico.

No obstante, debo señalar lo siguiente: cuando converso con directores de informática (CIO), no percibo estas exigencias irracionales. Los CIO son profesionales bien informados y pragmáticos; comprenden qué es factible y qué es aconsejable. Las posturas extremas suelen provenir de los medios de comunicación y de las redes sociales, ámbitos en los que la gente tiende a manifestarse con gran vehemencia y radicalidad respecto a este tema. Cuando el diálogo se establece entre profesionales —de colega a colega—, las personas adoptan una actitud sumamente razonable a la hora de abordar la cuestión de la soberanía digital.

“Lo que verdaderamente importa es mantener la dependencia en un nivel aceptable y asegurar el control total sobre aquellas partes específicas de la cadena de valor donde resulta más crítico.”

Bleu y la nube de confianza

¿Podrías darnos una breve descripción general de Bleu?

Bleu es una empresa conjunta al 50 % entre Capgemini y Orange, la principal compañía de telecomunicaciones de Francia y una de las líderes en Europa. El propósito de esta empresa conjunta es construir una «nube de confianza», centrada en el mercado francés y en dos segmentos específicos dentro del mismo: el sector público y las organizaciones que operan en industrias críticas, incluidos los servicios financieros, los servicios públicos, el transporte y la salud.

Nuestro objetivo es poner las soluciones de Microsoft —principalmente Microsoft Azure en el ámbito de la infraestructura y Microsoft 365 en el de las herramientas de colaboración— a disposición de estos segmentos en un entorno de nube de confianza.

Asimismo, es posible que haya notado que utilizo el término «nube de confianza» en lugar de «nube soberana». Esto es deliberado. El concepto de nube soberana puede significar muchas cosas distintas, dependiendo de quién utilice el término. La nube de confianza, al menos en el mercado francés, tiene un significado muy específico: una nube certificada por la ANSSI —la agencia francesa de ciberseguridad— bajo su referencial SecNumCloud. Dicha etiqueta posee un significado preciso; la nube soberana, no.

¿Podría proporcionar un ejemplo concreto de cómo Bleu ayuda a las organizaciones a alcanzar sus objetivos de soberanía y qué tipos de cargas de trabajo suelen estar involucradas?

Nuestra oferta consta de dos componentes principales: la suite colaborativa, basada en Microsoft 365, y la nube de aplicaciones, que abarca IaaS, PaaS y servicios relacionados basados ​​en Microsoft Azure.

La organización típica con la que trabajamos lleva algún tiempo siendo usuaria de Microsoft —ya sea en el entorno de Azure o en el de M365— y ha llegado a la conclusión de que, para sus datos sensibles, la nube pública de Microsoft ya no resulta suficiente. Necesitan garantizar la soberanía de sus datos, pero no desean abandonar la tecnología que ya conocen y operan. Eso es precisamente lo que ofrece Bleu: la misma tecnología de Microsoft, desplegada en un entorno de confianza certificado por la ANSSI. No existe ninguna brecha tecnológica, ni necesidad de volver a formar a los equipos de TI, ni interrupción alguna en los flujos de trabajo existentes. El cambio fundamental reside en la ubicación de la parte sensible de sus datos.

Para la administración central de Francia, esto constituye actualmente una obligación legal. Si usted forma parte de una administración pública francesa, sus datos sensibles deben, por imperativo legal, alojarse en una nube de confianza con certificación SecNumCloud. Para las grandes organizaciones del sector privado, si bien no existe un mandato legal, la necesidad imperiosa es igualmente real. Entre nuestros clientes se encuentran EDF, Dassault Aviation, Crédit Mutuel y Orange; todos ellos han confirmado públicamente su relación con Bleu. Ninguno de ellos utiliza Bleu para la totalidad de sus cargas de trabajo. Ese no es el modelo. Bleu constituye la respuesta idónea para las cargas de trabajo de carácter sensible. Para los datos de menor sensibilidad, muchos clientes continúan utilizando infraestructuras de hiperescaladores de forma simultánea a nuestros servicios.

Asimismo, cabe destacar una dimensión cada vez más relevante en lo que respecta a los proveedores independientes de software (ISV). Aquellos proveedores que aspiran a prestar servicio al sector público francés o a clientes de infraestructuras críticas necesitan, cada vez con mayor frecuencia, alojar sus ofertas SaaS en una nube de confianza. Si, por ejemplo, EDF utiliza SAP y desea que dicho sistema se ejecute en un entorno de confianza, será necesario que SAP se aloje en una plataforma como la de Bleu. Estos ISV acuden a nosotros exactamente igual que lo haría un cliente directo: abren un tenant (inquilino) en Bleu, despliegan su solución y ofrecen sus servicios en modalidad SaaS, utilizando a Bleu como su socio de alojamiento. Para cualquier proveedor de software que desee acceder a clientes con requisitos de seguridad sensible dentro del mercado francés y europeo, esta estrategia se está convirtiendo en algo ineludible.

“Bleu es la respuesta adecuada para cargas de trabajo sensibles.”

Soberanía digital en el mundo real

¿Qué tan significativo es el desafío de la interoperabilidad para las organizaciones que operan a través de las fronteras?

Nuestro enfoque hoy se centra en el mercado francés; sin embargo, en virtud de nuestro acuerdo con Microsoft, tenemos el derecho de prestar servicio también a las filiales europeas de nuestros clientes franceses. Si trabajo con EDF en Francia —y EDF posee filiales en Italia o Bélgica—, tengo pleno derecho a brindar soporte a dichas filiales en toda la UE, siempre y cuando la relación comercial tenga su anclaje en la empresa matriz francesa. Esto confiere a nuestros clientes franceses la capacidad de implementar los servicios de Bleu en todo su grupo empresarial, al menos dentro del territorio de la UE.

Lo que no estoy en condiciones de hacer —ni tengo la voluntad de hacer— es prestar servicio a empresas situadas fuera de la UE. Expandirnos hacia Estados Unidos, por ejemplo, podría exponernos potencialmente al ámbito de aplicación de esas mismas leyes extraterritoriales contra las cuales, precisamente, hemos sido diseñados para ofrecer protección. Este límite es deliberado y no negociable.

Para aquellas organizaciones verdaderamente globales que mantienen operaciones en Asia, el continente americano o Oriente Medio, Bleu no constituirá una solución global única. Será, más bien, la respuesta idónea para un ámbito de aplicación específico y delimitado. En lo que respecta a las aplicaciones, esta situación resulta manejable, dado que los ecosistemas de aplicaciones suelen variar según la geografía de todos modos. La suite de herramientas colaborativas, sin embargo, plantea una cuestión de mayor complejidad. Si no todos los usuarios de una organización global operan bajo una misma plataforma, ello puede generar fricciones y convertirse en un factor crítico que las organizaciones globales deberán gestionar y resolver.

Asimismo, existe una cuestión regulatoria de carácter estructural que incide directamente en este asunto. En la actualidad, cada uno de los 27 Estados miembros de la UE cuenta con su propio marco de referencia y certificación en materia de ciberseguridad. No existe una certificación europea única. Si se desea expandir la actividad por toda Europa en calidad de proveedor de servicios en la nube de confianza, es necesario obtener tantas certificaciones como países se pretenda abarcar. Actualmente se están llevando a cabo debates activos a nivel europeo con miras a establecer un marco de referencia unificado; una iniciativa que facilitaría considerablemente la labor de los proveedores de servicios en la nube que desarrollan su actividad en el mercado europeo. No obstante, dicho marco aún no se ha materializado.

Y, a juzgar por lo que observo, cuando ese marco común finalmente vea la luz, es probable que aborde la dimensión de la ciberseguridad —aspecto en el que existe un amplio consenso entre los Estados miembros—, pero que se quede corto en lo referente a la dimensión de la soberanía de los datos. La protección frente a las leyes extraterritoriales exige no solo la adopción de medidas técnicas y operativas, sino también de medidas de índole jurídica: ser una empresa de capital europeo, contar con accionistas europeos y operar exclusivamente dentro del territorio de la UE. Un marco de referencia europeo que aborde la ciberseguridad, pero que omita estos criterios jurídicos, constituirá, sin duda, una herramienta eficaz para proteger a las organizaciones frente a los riesgos cibernéticos; sin embargo, no aportará valor alguno en lo que respecta a la soberanía de los datos. Y la soberanía de los datos reviste una importancia equiparable. Esa brecha debe tomarse en serio.

“Si desea expandirse por Europa como proveedor de servicios en la nube de confianza, necesita tantas certificaciones como países desee atender.”

¿Cumplen realmente las empresas con sus palabras en materia de soberanía, o terminan recurriendo a los hiperescaladores a la hora de tomar la decisión?

En el pasado, el coste y la comodidad se impusieron, por dos razones. La soberanía no constituía una preocupación tan acuciante como lo es hoy en día, y las alternativas a los hiperescaladores eran significativamente menos capaces desde un punto de vista técnico y funcional. El resultado es que alrededor del 70 % del mercado europeo de la nube terminó en manos de hiperescaladores estadounidenses.

Esta situación está cambiando, también por dos razones. En primer lugar, la preocupación por la soberanía se ha intensificado sustancialmente y no va a desaparecer. En segundo lugar, las soluciones de confianza se han vuelto mucho más sofisticadas. Bleu es un ejemplo de este cambio: ahora es posible acceder a soluciones de Microsoft con una funcionalidad a la altura de la nube pública comercial, pero dentro de un entorno de confianza y certificado. Existen iniciativas similares también para Google Cloud. La disyuntiva entre soberanía y capacidad se ha reducido considerablemente.

Dicho esto, no afirmaría que los actores locales y europeos estén ya a la par de los hiperescaladores, especialmente en lo que respecta a la infraestructura en la nube. Todavía existe una brecha. Sin embargo, el imperativo de la soberanía es ahora lo suficientemente fuerte como para que algunas organizaciones estén dispuestas a aceptar una solución que tal vez no sea tan rica en funcionalidades ni tan vanguardista desde el punto de vista técnico, a cambio de una protección sustancialmente más sólida.

“Las soluciones de confianza se han vuelto mucho más sofisticadas.”

¿Qué industrias lideran la demanda de soberanía digital?

El sector público ocupa el primer lugar y, en Francia, constituye una obligación legal más que una elección. La defensa y el sector aeroespacial ocupan el segundo puesto y son, probablemente, la industria más sensible de todas. Los servicios públicos y la energía se sitúan en tercer lugar.

Los servicios financieros presentan un panorama más específico. Los bancos se encuentran entre las organizaciones más globalizadas, con operaciones en Londres, Singapur, Estados Unidos y otros lugares, lo que convierte a la soberanía de los datos en un concepto algo teórico para su huella operativa global. Sin embargo, lo que no resulta teórico para ellos —particularmente en el contexto de DORA[1]— es la resiliencia. Cada vez con mayor frecuencia, se nos acercan bancos que se sienten plenamente cómodos con sus relaciones con los hiperescaladores para sus operaciones diarias, pero que necesitan demostrar a los reguladores que, en caso de que AWS, Microsoft o Google Cloud se vieran impedidos de prestarles servicio, cuentan con un plan de respaldo creíble. Dado que Bleu está construido sobre la misma tecnología de Microsoft, constituye un respaldo natural y lógico. Migrar de Azure a Bleu resulta significativamente más sencillo que migrar a un proveedor de servicios en la nube totalmente distinto. Este caso de uso centrado en la resiliencia se está convirtiendo en una parte importante de nuestras conversaciones con los clientes del sector de servicios financieros.

La IA y el futuro de la nube de confianza

¿Cómo complica la IA el panorama de la nube de confianza?

La cuestión es la siguiente: ¿cómo permitir que los usuarios se beneficien de las capacidades de los grandes modelos de lenguaje sin inyectar sus datos sensibles en el modelo? Esto es posible, pero requiere que el modelo se instancie en nuestra propia nube, con un control total sobre lo que entra y lo que sale. La certificación ANSSI SecNumCloud exige precisamente eso: visibilidad y control absolutos sobre la entrada de datos desde Microsoft hacia nuestra nube y, del mismo modo, sobre la salida de datos que fluyen de regreso. Todo debe ser conocido, previsto y auditado.

Copilot constituye un ejemplo ilustrativo de este desafío. Por lo general, Copilot aprende de la actividad de cada usuario. Si ofrezco Copilot a mis clientes, necesito tener la certeza absoluta de que los datos generados por su uso no están alimentando un modelo que se entrena fuera de Europa. Azure AI Foundry, la plataforma unificada de IA de Microsoft, puede operar en ambas direcciones —entrada y salida—, y este proceso debe permanecer bajo nuestro control total.

La detección de amenazas es otro ejemplo instructivo. Las herramientas de detección de amenazas son potentes precisamente porque agregan inteligencia sobre amenazas proveniente de todo el mundo. Sin embargo, para funcionar, necesitan ser alimentadas con datos sobre amenazas de todas partes, lo cual genera una tensión inherente con los estrictos controles de flujo de datos que exige un entorno certificado por SecNumCloud.

El desafío, en términos sencillos, consiste en mantener el control total sobre todos los flujos de datos asociados al uso de los grandes modelos de lenguaje (LLM). Esto es más fácil de decir que de hacer. Afecta a múltiples capas de la arquitectura global y constituye uno de los desafíos técnicos y de gobernanza definitorios para la IA soberana en un entorno de nube de confianza.

¿Cuál es su consejo para los directores ejecutivos y altos ejecutivos que afrontan el desafío de la soberanía digital?

Tres puntos. En primer lugar, tómese la soberanía en serio en sus tres dimensiones: ciberseguridad, soberanía de datos y resiliencia digital. Ningún director ejecutivo puede considerar que alguna de estas dimensiones sea de importancia secundaria.

En segundo lugar, sea pragmático. No va a reemplazar a sus proveedores de tecnología estadounidenses de manera rápida ni sencilla. Ese no es el objetivo. El objetivo es desarrollar una comprensión lúcida de qué dependencias son aceptables y cuáles no. Para aquellas dependencias que caigan en la categoría de inaceptables, es necesario implementar una solución soberana. Esto se aplica tanto a los proveedores de servicios en la nube como a los proveedores de software.

En tercer lugar, no se detenga en el análisis. Es necesario realizar la reflexión, pero luego hay que pasar a la acción. Comprender su panorama de dependencias solo resulta valioso si conduce a decisiones concretas sobre dónde es preciso implementar soluciones soberanas.

“Desarrolle una comprensión lúcida de qué dependencias son aceptables y cuáles no.”

Mirando de tres a cinco años hacia el futuro, ¿cómo ve evolucionar el panorama de la soberanía digital en las distintas industrias y países?

Centrándonos en Europa, confío en que, dentro de tres a cinco años, el continente contará con una industria de la nube local significativamente más sólida de lo que es hoy. Dicha industria no será totalmente independiente de componentes no europeos, y eso está bien; el objetivo nunca fue la autarquía. Sin embargo, actores como Bleu estarán plenamente operativos y habrán alcanzado la escala necesaria, mientras que otros proveedores europeos de servicios en la nube habrán seguido desarrollando y sofisticando sus ofertas.

La batalla entre los hiperescaladores y los actores locales será más equilibrada de lo que es en la actualidad. ¿Reemplazarán los actores locales a los hiperescaladores? En absoluto. ¿Llegarán a ser dominantes? De eso tampoco estoy seguro. No obstante, el reparto será más equilibrado, y gracias a ello, el ecosistema europeo de la nube será más saludable y resiliente.

La dirección que se está tomando es clara. La única incógnita es el ritmo.

[1] DORA, the EU’s Digital Operational Resilience Act, is a regulation that requires financial institutions to ensure their technology systems are secure, resilient, and able to withstand and recover from disruptions and cyberattacks.